问题 想问下:安全测试感觉里面还区分了好多:如渗透测试,WEB安全测试,第三方组件测试。SQL注入等等。能不能帮忙解答下,安全测试是怎么分类的?来了思维导图或其他。
比如:SQL注入算是渗透测试吗?
下面截图算是web端安全测试吗?
下面截图是我在网上查到的:
按照SDL里的定义,从流程上分为代码层面的安全审计、集成层面的安全测试,以及系统级别的渗透测试。这是一个流程分类。其他的都是针对具体测试点或者具体领域的。比如SQL注入,在代码层面的安全审计中是可以发现的,渗透测试时也可以发现的。App安全测试也类似,可以通过代码层面的安全审计、集成测试的安全测试和系统层面的渗透测试去布防。
burpsuite是国内的黑客必备工具,国内有大量的教程。如果你是新手,那么可以先选择这个,对你搜索资料比较有帮助。但是他其实只能辅助渗透,里面的安全扫描是需要商业版付费的。
如果要做安全扫描,那么owasp zap是可以满足你要求的比较好的工具。你可以结合来用,但是做安全扫描是离不开owasp的zap扫描的。